セキュリティと縁の深い個人情報保護法を読み解く
ひとりの消費者としてセキュリティを考えるとき、自分自身の個人情報が企業によってキチンと守られているかは非常に気になるところ。2014年に発生したベネッセ個人情報流出事件が記憶に新しいように、知らない間に自分の個人情報が売買されている可能性は否定できない。企業側も個人情報の取り扱いには明確なプロセスを経ることが通例で、たとえば新しいポイントカードを作成すると、「個人情報の承認」として所定の書類に署名をすることが多い。この背景にあるものが、「個人情報保護法」という法律だ。この法律、よく名前を聞くことは多いが、どのような法律なのだろうか。
1. 個人情報保護法とは?
個人情報保護法は、情報化の進展による個人情報の保護を目的として、2003年(平成15年)に公布、2年後の2005年に全面施行された。「個人情報取扱事業者」の定義、第三者提供の制限から構成されている。
気になるのは個人情報保護法の「罰則要件」について。
第七十四条 第三十四条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万円以下の罰金に処する。
第七十七条 法人(法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。)の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、第七十四条及び第七十五条の違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。
個人情報保護法に違反した場合は個人を罰するにとどまらず、帰属する法人がある場合は法人も罰金の対象となる旨が明記されている。
さらにひとたび個人情報の流出を引き起こしてしまうと、その影響は上記のような罰則にとどまらない。昨今において優先順位の高い「個人情報」に対して、その対応が不十分な企業というマイナスイメージを長期間にわたって享受しなければならないのである。特に一般消費者向けのビジネスを生業としている企業であれば、その信頼を取り戻すには多大な労力が必要となるだろう。
2. SNSへの範囲拡大が求められている
ところで、個人情報保護法の制定された2000年代前半から、ほんの15年のあいだで、インターネットの世界は大きく様変わりした。現在、ネット上で個人情報ともっとも距離が近いのはSNS(ソーシャル・ネットワーキング・サービス)だ。SNSに個人情報を預けて活用する危険性については、前稿「Facebook・TwitterをはじめとするSNS認証の陰に隠れているリスクを考える」にて取り上げた。
個人情報保護法にとっての喫緊の課題は、このSNSへの対応といえるだろう。SNS上へなされる日頃の投稿が、私たちの思いもよらぬ形で別の用途に利用されていたりすることも。例を挙げるとすると、FacebookはAcxiomやEpsilonといったマーケティング企業と共同で、オンライン上のプロフィールと店舗での購入データの両者を紐付けようとしている[1]。企業寄りで制定された個人情報保護法に対し、個人が自主的に投稿するSNS上での個人情報保護をどこまで適用させるのかという課題がある。
また、SNSといったサービスに限定されない、個人間の自由闊達なコミュニケーションに法律がどこまで介入すべきなのか。最近支持を得るSNSのなかには実名を前提とするものもあり、これまでインターネットにおける特徴だった「匿名性のあるやり取り」から別の対策が必要となってきた。個人情報保護法がこれらのニーズの変化に対応していけるのか、今後注目が集まりそうだ。
セキュリティ企業にとっては、顧客の個人情報を守るためにも、そしてその企業自身がコンプライアンスに違反しないためにも、技術面だけではなく法律面にも留意する必要があるだろう。
(文/工藤崇)
参考:
[1] Schneier, B. (2015). Data and Goliath.